Fatal编程技术网
  • ruby-on-rails/
  • Ruby on rails 错误:Can';t验证CSRF令牌的真实性

Ruby on rails 错误:Can';t验证CSRF令牌的真实性

ruby-on-rails forms ruby-on-rails-4

Ruby on rails 错误:Can';t验证CSRF令牌的真实性,ruby-on-rails,forms,ruby-on-rails-4,Ruby On Rails,Forms,Ruby On Rails 4,我从莫代尔提交了一份Rails4表格。这个解决方案在Rails3.x中运行良好 代码如下: <div class="modal fade" id="copy-product-addons"> <div class="modal-dialog"> <div class="modal-content"> <div class="modal-header"> <button type="button" cl

我从莫代尔提交了一份Rails4表格。这个解决方案在Rails3.x中运行良好

代码如下:

 <div class="modal fade" id="copy-product-addons">
  <div class="modal-dialog">
    <div class="modal-content">
      <div class="modal-header">
        <button type="button" class="close" data-dismiss="modal">×</button>
        <h4>Copy Add-Ons From:</h4>
      </div>
      <div class="modal-body">
        <form id="addons-copy" method="POST" action="<%= copy_addons_product_path(@product) %>">
          <%= select_tag "from", options_from_collection_for_select(@shop.enabled_products - [@product], 'id', 'name'),  :class => "form-control %>
        </form>
      </div>
      <div class="modal-footer">
        <a href="#" class="btn btn-danger" data-dismiss="modal">Cancel</a>
        <a href="#" onclick="$('#addons-copy').submit(); return false;" class="btn btn-primary">Copy Add-ons</a>
      </div>
    </div>
  </div>
</div>
<% end %>
谢谢

在Rails 4中,有一些约定可以防止针对HTML请求的CSRF攻击。这篇文章很好地解释了一般概念:

看起来您的控制器正在检查CSRF令牌,但您的表单没有发送。这是因为您在视图中使用的是手动
标记,该标记不包含所需的隐藏标记

如果您使用Rails
form_tag
helper方法,Rails将自动为您生成真实性令牌,该令牌将作为表单的一部分发送:

<div class="modal-body">
  <%= form_tag(copy_addons_product_path(@product), id: "addons-copy") do %>
    <%= select_tag "from", options_from_collection_for_select(@shop.enabled_products - [@product], 'id', 'name'),  :class => "form-control %>
  <% end -%>
</div>


“表单控件%>
如果您检查将由此生成的HTML,您将看到一个隐藏的输入标记;如下所示:

这是令牌作为表单的一部分发送的方式。然后,您的控制器会将其与当前令牌进行比较,以验证没有CSRF尝试,并且您应该不会再遇到此错误。

在Rails 4中,有一些约定可以防止HTML请求的CSRF攻击。因此,本文很好地解释了一般概念:

看起来您的控制器正在检查CSRF令牌,但您的表单没有发送。这是因为您在视图中使用的是手动
标记,该标记不包含所需的隐藏令牌

如果您使用Rails
form_tag
helper方法,Rails将自动为您生成真实性令牌,该令牌将作为表单的一部分发送:

<div class="modal-body">
  <%= form_tag(copy_addons_product_path(@product), id: "addons-copy") do %>
    <%= select_tag "from", options_from_collection_for_select(@shop.enabled_products - [@product], 'id', 'name'),  :class => "form-control %>
  <% end -%>
</div>


“表单控件%>
如果您检查将由此生成的HTML,您将看到一个隐藏的输入标记;大概是这样的:

这是令牌作为表单的一部分发送的方式。然后,您的控制器会将其与当前令牌进行比较,以验证没有CSRF尝试,并且您不会再遇到此错误。

看起来您没有设置CSRF令牌。使用Rails的form_标记helper@CristianoAlencar的可能副本:答案更接近外部API请求。这似乎是一个内部服务器请求,应该只使用Rails CSRF约定。正如@WesFoster所提到的,使用
form_tag
将正确设置令牌。我发现了一个很好的SO帖子,它很好地解释了CSRF的内容:。看起来你没有设置CSRF令牌。使用Rails的form_标记helper@CristianoAlencar的可能副本:答案更接近外部API请求。这似乎是一个内部服务器请求,应该只使用Rails CSRF约定。正如@WesFoster所提到的,使用
form_tag
将正确设置令牌。我发现有一篇很好的帖子很好地解释了CSRF的内容:。